扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ZDNet China 2007年3月26日
关键字: 漏洞管理
多年来,软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说,这些“负责任的披露”计划产生了一些效果,但安全研究人员仍然控制着这一过程。Snyder说,一切由安全研究人员说了算,他们控制着披露时间,他们控制着厂商是否有足够的发布时间。
公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露,等待厂商发布补丁软件后再公开详细资料,它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击,有损厂商的名誉。Snyder说,厂商有责任对向它们通报的缺陷做出及时的回应。
但是,并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示,这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商,它们希望控制这一过程。
Aitel说,安全研究人员无需向厂商通报缺陷资料,而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料,并在其产品中使用这些资料,其中包括能够被用来入侵计算机和网络的渗透测试。
TippingPoint安全研究经理Rohit Dhamankar说,如果企业运用法律武器威胁安全研究人员,这是一种企业无知的典型例子。
为了获得针对对手的竞争优势,Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料,它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。
Veracode的创始人、技术总监Chris Wysopal表示,如果不公开披露,缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。
Snyder说,是厂商有30天的时间发布补丁软件是一个不错的主意,他还呼吁安全研究人员遵守“负责任的披露”原则。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者